Исправление Bers666, (текущая версия) :
tshark -l -i enp0s3 -f 'dst port ( 80 or 443 or 993 or 995 or 465 ) ' -Y 'tls.handshake.extension.type == "server_name" || http.host' -T fields -e frame.time -e ip.src -e ip.dst -e tcp.dstport -e tls.handshake.extensions_server_name -e http.host
в данном примере запускаем tshark чтоб слушал популярные порты SSL, и также 80, и чтоб показывал либо HTTP либо SNI заголовки.
Исправление Bers666, :
tshark -l -i enp0s3 -f 'dst port ( 80 or 443 or 993 or 995 or 465 ) ' -Y 'tls.handshake.extension.type == "server_name" || http.host' -T fields -e frame.time -e ip.src -e ip.dst -e tcp.dstport -e tls.handshake.extensions_server_name -e http.host
в данном примере запускаем tshark чтоб слушал популярные порты SSL, и также 80, и чтоб показывал либо HTTP либо SNI заголовки.
Вывод
Apr 1, 2022 10:07:10.656170390 +03 80 gmail.com
Apr 1, 2022 10:07:11.976804321 +03 443 gmail.com
Исходная версия Bers666, :
tshark -l -i enp0s3 -f 'dst port ( 80 or 443 or 993 or 995 or 465 ) ' -Y 'ssl.handshake.extension.type == "server_name" || http.host' -T fields -e frame.time -e ip.src -e ip.dst -e tcp.dstport -e ssl.handshake.extensions_server_name -e http.host
в данном примере запускаем tshark чтоб слушал популярные порты SSL, и также 80, и чтоб показывал либо HTTP либо SNI заголовки.